Ранее на этой неделе The Register подробно рассказал об уязвимости в функции автозаполнения Safari от Apple, которая может позволить вредоносным веб-сайтам извлекать личную информацию пользователей из их адресной книги. Исследователь безопасности Джеремайя Гроссман из WhiteHat Security вчера опубликовал сообщение в блоге, подробно описывающее этот эксплойт и предлагающее демонстрационную страницу, позволяющую пользователям проверить, уязвимы ли они.
Уязвимость возникает из-за использования адресной книги простых текстовых полей формы для хранения личной информации пользователя в сочетании со способностью Safari автоматически получать эту информацию с помощью функции автозаполнения для помощи пользователям при заполнении веб-форм.
Все, что потребуется вредоносному веб-сайту для незаметного извлечения данных адресной книги из Safari, — это динамически создать текстовые поля формы с упомянутыми выше именами, вероятно, невидимые, а затем имитировать события нажатия клавиш от A до Z с помощью JavaScript. Когда данные заполняются, то есть автозаполняются, они могут быть доступны и отправлены злоумышленнику.
По какой-то причине поля, начинающиеся с цифр, такие как номера телефонов и адреса улиц, не подвержены этой уязвимости. Однако обычно можно получить доступ к имени пользователя, названию компании, городу/штату/стране и адресам электронной почты.
Тем не менее, такие атаки могут быть легко и дешево распространены в массовом масштабе с использованием рекламной сети, где, вероятно, никто никогда не заметит, поскольку это не код эксплойта, предназначенный для доставки вредоносного кода. Фактически, нет никакой гарантии, что этого еще не произошло. Можно с уверенностью сказать, что эта уязвимость настолько элементарна, что я предположил, что кто-то другой уже публично сообщил о ней, но исчерпывающие поиски и расспросы нескольких коллег ничего не дали.
Гроссман сообщает, что он представил информацию об уязвимости Apple 17 июня, но получил не более чем автоматическое подтверждение своей заявки, несмотря на попытку последующего обращения. Следовательно, Гроссман раскрывает информацию об уязвимости публично, чтобы пользователи могли принять меры для защиты себя, отключив функцию автозаполнения, которая включена по умолчанию.
Обновление: По данным All Things Digital, Apple признала проблему и пообещала, что работает над ее исправлением, но сроки выпуска не сообщаются.
